https://blog.qife122.com/tags/cve-2025-12362/ Recent content in CVE-2025-12362 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Dec 2025 21:30:39 +0800 https://blog.qife122.com/p/wordpress-mycred%E6%8F%92%E4%BB%B6%E6%9B%9D%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E6%9C%AA%E6%8E%88%E6%9D%83%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E6%93%8D%E7%BA%B5%E6%94%AF%E4%BB%98%E4%B8%8E%E7%A7%AF%E5%88%86/ Sat, 13 Dec 2025 21:30:39 +0800 https://blog.qife122.com/p/wordpress-mycred%E6%8F%92%E4%BB%B6%E6%9B%9D%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E6%9C%AA%E6%8E%88%E6%9D%83%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E6%93%8D%E7%BA%B5%E6%94%AF%E4%BB%98%E4%B8%8E%E7%A7%AF%E5%88%86/ <h1 id="cve-2025-12362-mycred-wordpress插件中的授权缺失漏洞">CVE-2025-12362: myCred WordPress插件中的授权缺失漏洞</h1> <p><strong>严重性</strong>: 中危 <strong>类型</strong>: 漏洞</p> <h2 id="概述">概述</h2> <p>myCred – 一款用于WordPress的积分管理系统（适用于游戏化、等级、徽章和忠诚度计划）插件，在2.9.7及之前的所有版本中，存在一个<strong>授权缺失</strong>漏洞。这是由于插件未能正确验证用户是否有权执行特定操作所致。这使得未经身份验证的攻击者能够通过<code>cashcred_pay_now</code> AJAX操作，<strong>批准提现请求、修改用户积分余额并操纵支付处理系统</strong>。</p>